EuGH: Löschung von Daten durch Aufsichtsbehörde

21. März 2024

Der Schutz personenbezogener Daten ist ein grundlegendes Anliegen in der digitalen Ära. Das gilt umso mehr, wenn es um sensible Daten im Zusammenhang mit Covid-19 geht. Ein Urteil des Europäischen Gerichtshofs (EuGH) vom 14.03.2024 hat die Befugnisse einer Aufsichtsbehörde zur Anordnung der Löschung von unrechtmäßig verarbeiteten Daten erweitert. Das soll auch der Fall sein, wenn die betroffene Person selbst keinen Antrag hierfür gestellt hat.

Zugrundeliegender Sachverhalt

Im Zusammenhang mit Covid-19 entschied sich die Kommunalverwaltung Újpest in Ungarn 2020, Menschen, die besonders gefährdet waren, finanziell zu unterstützen. Dazu benötigte sie personenbezogene Daten zur Überprüfung der Anspruchsvoraussetzungen, die sie bei der Staatskasse und einer Regierungsbehörde anfragte. In diesem Zusammenhang stellte die Datenschutzbehörde Verstöße gegen die DSGVO von allen drei Behörden fest. Die Verwaltung Újpest habe innerhalb der Monatsfrist nicht über die Datenverwendung, deren Zweck und Betroffenenrechte ordnungsgemäß informiert. Hierfür verhängte die Behörde ein Bußgeld. Außerdem ordnete sie die Löschung der Daten an, die von Personen stammten, die keine Unterstützung beantragt hatten. Die Verwaltungsbehörde war hingegen nach der Pressemitteilung des EuGH der Meinung, dass die Datenschutzbehörde die Löschung nicht fordern könne, „wenn die betroffene Person keinen entsprechenden Antrag zuvor gestellt habe“. Infolgedessen focht die Verwaltungsbehörde Újpest die Entscheidung gerichtlich an. Das zuständige ungarische Gericht wandte sich mit dem Vorabentscheidungsverfahren in der Rechtssache C-46/23 an den EuGH.

EuGH-Urteil: Löschung auch ohne Antrag

In seinem Urteil entschied der EuGH nun, dass die Löschung von unrechtmäßig verarbeiteter Daten durch die Aufsichtsbehörde angeordnet werden darf, auch ohne einen zuvor gestellten entsprechenden Antrag der betroffenen Person, wenn dies „zur Erfüllung ihrer Aufgabe erforderlich ist, die darin bestehet, über die umfassende Einhaltung der DSGVO zu wachen“. Die entsprechende Befugnis ergibt sich aus Art. 58 Abs. 2 lit. d und g DSGVO. Anderenfalls könnte der Verantwortliche die Daten unbegrenzt lange weiterverarbeiten, obwohl dies rechtswidrig ist und die Aufsichtsbehörde davon Kenntnis hat. Im Übrigen kommt es auch nicht darauf an, ob die Daten „unmittelbar bei der betroffenen Person erhoben wurden oder aus einer anderen Quelle stammen“.

Fazit

Das Urteil des EuGH stärkt die Befugnisse der Datenschutzbehörden und erhöht damit effektiv auch den Schutz der Bürger. Insbesondere unterstreicht das Urteil auch die Verantwortung der Aufsichtsbehörden, die Einhaltung der DSGVO zu überwachen und bei Verstößen entsprechend zu handeln.

Kategorien: Aufsichtsbehördliche Maßnahmen · COVID-19-Virus · DSGVO · EuGH-Urteil · Löschung · Rechtsprechung